Socorro! Socorro! Outro surto de um novo ransomware atingiu a grande infra-estrutura da Ucrânia e da Rússia, incluindo várias organizações de transporte, bem como muitas organizações governamentais e está sendo executado com o nome de "Bad Rabbit" .
De acordo com os relatórios da mídia, muitos computadores foram criptografados com este ataque cibernético. Fontes públicas confirmaram que os sistemas de computadores da Kiev Metro, juntamente com o aeroporto de Odessa, bem como outras numerosas organizações da Rússia, foram afetados.
O malware usado para este ataque cibernético foi "Disk Coder.D" - uma nova variante do ransomware que popularmente correu pelo nome de "Petya". O ataque cibernético anterior do Disk Coder deixou danos em escala global em junho de 2017.
ESET sobre Bad Rabbit.
O sistema de telemetria da ESET relatou várias ocorrências do Disk Coder. D na Rússia e na Ucrânia, no entanto, há detecções deste ciberataque em computadores da Turquia, Bulgária e alguns outros países também.
Uma análise abrangente deste malware está sendo trabalhada pelos pesquisadores de segurança da ESET. De acordo com suas descobertas preliminares, o Disk Coder. D usa a ferramenta Mimikatz para extrair as credenciais dos sistemas afetados. Suas descobertas e análises estão em andamento e nós o manteremos informado assim que mais detalhes forem revelados.
O sistema de telemetria da ESET também informa que a Ucrânia responde por apenas 12, 2% do número total de vezes que viu a infiltração de Bad Rabbit. A seguir estão as estatísticas restantes:
- Rússia: 65%
- Ucrânia: 12, 2%
- Bulgária: 10, 2%
- Turquia: 6, 4%
- Japão: 3, 8%
- Outro: 2, 4%
A distribuição de países acima mencionada foi comprometida por Bad Rabbit em conformidade. Curiosamente, todos esses países foram atingidos ao mesmo tempo. É bem provável que o grupo já tivesse o pé dentro da rede das organizações afetadas.
O como.
O método de distribuição usado para o Bad Rabbit é "Drive-By Download". Em termos mais simples, um download drive-by é um pop-up de download não intencional exibido em sites ou e-mails. Com esses casos, o “fornecedor” alega que o usuário “consentiu” com aquele download em particular, embora o usuário realmente não estivesse ciente de ter iniciado um download de software indesejado ou mal-intencionado.
Da mesma forma, com o caso do Bad Rabbit, o que vimos até agora é um pop-up pedindo para baixar uma versão atualizada do Flash Player da Adobe como mostrado abaixo.
Assim que alguém acessa o botão de download, um arquivo executável é baixado. Este arquivo executável, ie install_flash_player.exe, é o conta-gotas do Bad Rabbit. Por fim, o computador trava e mostra a nota de resgate como segue.
Além disso, a página de pagamento do Bad Rabbit é algo parecido com isto.
A seguir estão os sites comprometidos.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // an-crimearu
- hxxp: //www.t.ksua
- hxxp: // most-dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
O que agora?
Os ataques cibernéticos hoje evoluíram em muitos rostos. A internet não é mais um lugar seguro, e é por isso que o uso de uma VPN autêntica é altamente recomendável; especialmente ao se conectar a um Wi-Fi público.
Crie um túnel criptografado com segurança entre você e a Internet com o provedor de serviços de VPN líder do setor, Ivacy VPN, e assuma o controle da sua presença on-line e proteja seus valiosos dados.
